Re: Vidéo sur une grosse porte dérobé xz...

[Albert ARIBAUD <albert@aribaud.net>]

Le dimanche 24 novembre 2024 à 09:06 +0100, jdd@dodin.org a écrit :
> Le 24/11/2024 à 00:15, Jean-Marc Mongrelet (via linux-31 Mailing
> List) a 
> écrit :
> > Le 23/11/2024 23:58, Jean-Marc Mongrelet a écrit :
> > > 
> > > Par chance c'est resté que sur les distributions en version test!
> > 
> > Je dis ça mais Ubuntu (KUbuntu que j'utilise) est basé sur une
> > Debian
> > testing... Y a rien qui dit qu'elle a été touchée ou pas! Pas très
> > rassurant tout ça!
> > 
> 
> ca date du mois de mars, on peut espérer...

Une recherche avec "xz hack ubuntu" dans Google m'a sorti en première
réponse un fil sur Ask Ubuntu :
 
https://askubuntu.com/questions/1509015/is-ubuntu-affected-by-the-xz-backdoor-compromise

Pour Ubuntu comme pour les autres, ça a touché une distrib de test
seulement.

C'était du reste la situation la plus probable, au moins pour les deux
raisons suivantes :

1. Comme toutes les distros majeures, Ubuntu une équipe de sécurité et
que toutes ces équipes de sécurité des distros et projets importants
communiquent les risques entre elles par de multiples canaux.

2. Ubuntu a une branche pro et ne peut pas se permettre d'ignorer une
faille devenue publique. A minima, ils doivent communiquer, et comme
l'open source est impliqué, doivent montrer qu'ils agissent, parce
qu'on le saura de toute façon.

Amicalement,
Albert.